El tema de la seguridad en una web de WordPress es algo de lo que se habla mucho, pero se hace poco.
Es decir, cuando terminas de crear tu web, y la lanzas al mundo online, te aseguras de que todo funciona perfectamente, pero nunca llegas a pensar que tu web pueda estar expuesta a ataques “pirata”.
Y es que el tema de seguridad para tu web de WordPress, está a la orden del día, y no debes nunca dar por hecho que a tu web “no le va a pasar”.
Y puede que te preguntes: ¿Por qué estoy tan seguro? Porque cuando pensamos en seguridad web, o ataques “pirata”, siempre nos imaginamos al típico hacker, a oscuras, en su habitación, y con capucha, con cara de malo, intentando hackear tu web. Pero eso sólo pasa en las películas mucho me temo.
La seguridad de la que yo hablo, empieza desde dentro. Y eso vamos a ver en este artículo: cómo poder controlar o monitorizar todo lo que ocurre en tu sitio web, para que sepas de dónde surge un problema, y lo puedas cortar de raíz.
Y aprovecho para recordarte que, si eres de Webempresa, existe un servicio de seguridad muy bueno (el cual es el primer paso para tener una web más segura), llamado Ciberprotector. (y ¡ojo!, no me han pedido que lo mencione aquí, lo hago porque de verdad funciona).
Pasemos ahora al tema principal del artículo, que, aunque sencillo y concreto, es muy importante.
Con el plugin que te traigo a continuación (en su versión gratuita, aunque tiene versión premium) podrás saber en todo momento quién ha hecho qué en tu web, y tener una idea global de cada uno de los movimientos que se producen dentro de tu web.
Tabla de contenidos
Por qué utilizar WP Security Audit Log (versión gratuita)
El plugin que analizamos en este artículo tiene una versión gratuita y una versión premium.
Si bien vamos a ver por encima las características de pago más adelante, he considerado que con la versión gratuita, en este caso, te va a sobrar para llevar cierto control de seguridad en tu web.
La empresa detrás de este plugin se llama WP White Security, y el plugin en sí tiene más de 100.000 instalaciones activas, por lo que tanta gente no puede estar equivocada en lo bueno que es.
Además, si eres de los que te gusta todo en tu idioma nativo en tu web, el plugin está completamente en español, así que no tendrás problema para entender cada una de sus características.
Y como de un buen análisis de plugin se trata, vamos a ir paso a paso, pantalla a pantalla, explicando todas las posibilidades que ofrece.
Y por último, te mostraré todo lo comentado, con algún que otro ejemplo, en un vídeo tutorial al final de este artículo.
¡Vamos al lío!
Aprendiendo a utilizar el plugin en 6 pasos
Empezamos con el análisis de este fantástico plugin de seguridad para tu web.
Lo he querido hacer en varios pasos, para que resulte más fácil de “digerir”, ya que estos temas de configuraciones de seguridad, suelen no ser tan atractivos como otros plugins para otras funciones en WordPress.
Lo que sí que te puedo asegurar es que, el plugin es divertido en la parte de “Gran Hermano” que tiene, es decir, en la parte de ver lo que todo el mundo hace, sin tú ser visto, y actuando como “ser de luz todo poderoso” dentro de tu web.
Paso 1: Instalar el plugin
Nada nuevo que contarte en este paso, pues la instalación es como cualquier otra dentro de WordPress (aunque siempre hay que mencionar este paso).
Busca el plugin en el repositorio, instálalo, y actívalo. Así de fácil.
Eso sí, puedes directamente hacerlo desde dentro de tu web, en la sección de plugins, o desde el repositorio oficial fuera de la web, descargarlo, y “subirlo” a tu web desde WP-Admin o desde el FTP. Cualquiera de las dos es válida.
Si en un futuro decides adquirir la versión premium, la licencia la podrás activar directamente desde las opciones del plugin (tal y como veremos más adelante).
Paso 2: Ejecutar el asistente
Al activar el plugin en el Paso 1, aparecerá un asistente para editar las configuraciones principales del plugin.
Todo lo que configures durante este asistente, lo podrás volver a editar de nuevo en las preferencias generales del plugin, por lo que no te preocupes por “equivocarte”.
Durante el asistente, lo que vas a ir configurando es:
- El nivel de detalle de registro (si lo quieres a nivel básico o nivel avanzado, que ellos llaman “Geek”).
- Si tú accedes a tu web por wp-admin u otra combinación (para hacer más seguro el acceso a la panel de administrador de tu web).
- Cómo quieres lidiar con los registros 404 (los de que “la página no existe”).
- Si quieres posibilidad de registro en la web o no (hay mucha gente que se olvida de desmarcar esto si de verdad no hace falta registrarse en tu web).
- El tiempo de retención de registro (de 6 meses, 12 meses o siempre).
- Quién puede acceder al registro de actividad (de entre todos tus usuarios).
- Excluir a determinados usuarios de tu log (por ejemplo, si tú no quieres aparecer).
Sé que parece “demasiado” todas estas configuraciones, y más sin verlas directamente. Por lo que en el vídeo más adelante, te las explico más en detalle (verás que es muy sencillo).
Paso 3: Visor del registro de auditoría
Esta es la página de opciones del plugin que más vas a visitar, porque es la que recoge el log (o registro de auditoría).
Es un listado de “acontecimientos”, y para cada uno de ellos, puedes ver diferente información, dividida en columnas:
- ID del evento: para saber el tipo de evento que es (ya los irás conociendo conforme se vayan repitiendo).
- Gravedad: una especie de semaforo para saber la urgencia de atención que tiene dicho evento (por ejemplo si está en rojo, es lo primero que tienes que mirar).
- Fecha: cuándo se ha producido el evento.
- Usuario: quién ha producido el evento.
- IP de origen: desde dónde se ha producido (útil para poder bloquear ciertos usuarios).
- Mensaje: Más detalles sobre el evento.
Cada una de las columnas las puedes ordenar “de menos a mas” y viceversa, así podrás agrupar todos los eventos ocurridos. Por ejemplo, todos los eventos urgentes que requieran tu atención, o todos los eventos por usuario, etc.
Paso 4: Revisar qué elementos aparecerán en el LOG
En esta parte de la configuración, podrás activar o desactivar diferentes eventos para que aparezcan o no, en tu log de seguridad.
Lo vemos en detalle en el vídeo tutorial, ya que hay cientos de ellos, pero aquí te menciono los grupos más importantes:
- Perfiles de usuario y actividad (toda la actividad de los usuarios dentro de tu web).
- Contenido y comentarios (toda la actividad relacionada con los “Custom Post Types” de tu web y los comentarios).
- Instalación de WordPress (la parte más técnica del log, que contiene cualquier movimiento para con la base de datos, los plugins, temas que utilices, ajustes de WordPress, widgets, sistema en general y el menú).
- Red Multisitio (esta parte se centra en la actividad de las instalaciones de WordPress Multisite).
- Plugins de terceros (aquí irán apareciendo más opciones, conforme vayas instalando plugins de terceros. Por ejemplo, WooCommerce, BBPress, Yoast SEO, etc).
- Portada de eventos (registro de otros eventos no tan relacionados con los anteriores, pero que, para determinados usuarios avanzados, les vendrá bien la información que pueda generar cada una de las opciones disponibles).
Recuerda que todas estas activaciones o desactivaciones de los eventos que van a registrarse en el log de seguridad de tu web, pueden verse de manera “básica” o de manera avanzada o “geek” (el nombre que ellos han decidido utilizar).
Sé que esta parte es un poco más difícil de digerir, pues te encuentras de cara a todos los tipos de eventos disponibles en tu web, pero te recomiendo que vayas uno a uno, entendiéndolos, y decidiendo si te interesa activarlos o no (de esta manera conseguirás un equilibrio perfecto entre lo que necesita tu web, y lo que tú necesitas saber).
Paso 5: Revisar los Ajustes
En el siguiente apartado del menú (tras saltarnos todas las opciones premium que vemos más adelante por encima), podrás encontrar los ajustes del plugin en sí.
Como ya hemos comentado anteriormente, por suerte, este plugin cuida mucho a sus usuarios, y todas las opciones vienen también en un perfecto castellano, y además, son bastante intuitivas.
Es aquí en donde puedes volver a editar las opciones que has elegido durante el asistente en el paso 2.
Y al igual que con los eventos que se activan o desactivan en el paso anterior, aquí hay muchas opciones, y no las vamos a ver todas (para no hacer este artículo infinito), pero sí que voy a comentarte los grupos de opciones más importantes, y en el vídeo, le doy un repaso a la gran mayoría.
Las opciones del plugin se dividen en:
- Opciones “Generales“
- Opciones de “Registro de Actividad“
- Opciones para la “Exploración de integridad de los archivos“
- Opciones para “Excluir elementos“
- Opciones de “Importar y Exportar“
- Ajustes avanzados
Algunas opciones pueden parecer muy avanzadas, pero de verdad, si lees las descripciones que acompañan a cada una de las opciones, vas a saber inmediatamente para qué sirven. (Como ya he dicho antes, este plugin cuida de verdad la calidad y la UX para todos sus usuarios).
Paso 6: Revisar la ayuda
Y como buen plugin que es, no podía faltar un apartado de Ayuda y Soporte en el plugin.
Para dicha ayuda, el plugin ofrece un foro de soporte gratuito, así como un correo electrónico de soporte gratuito.
Y además de todo ello, lo acompañan con una documentación extensa del plugin.
Eso sí, aquí hay una mala noticia, y es que todo está en inglés. Pero si no hablas inglés, quizás, con todas las capturas de pantalla que acompañan a cada página de la documentación, puede que te vaya guiando igualmente hasta encontrar una solución a tus dudas.
Si no, te tocará tirar de diccionario.
Añadir también que, en la segunda pestaña de este apartado, encontrarás información sobre tu sistema, que será de gran utilidad al soporte que contactes, en el caso que la necesiten.
Aunque no entre “de por sí” en el objetivo de este artículo, conviene mencionar muy “por encima” las posibilidades extra que arroja la versión de pago del plugin.
En cualquier momento podrás “subir de categoría” pinchando en el enlace super vistoso (ya se han encargado de ello poniéndolo en verde fosforito) en el menú.
Con la versión de pago, a parte de todo lo que hemos visto en este artículo, también podrás:
- Recibir alertas por SMS y correo electrónico de lo que los eventos que tú digas.
- Ver qué usuarios están conectados a tu web en ese momento.
- Automatizar informes de seguridad de tu sitio.
- Integrar el plugin con otros servicios de terceros (por ejemplo, que te avise de ciertos eventos por Slack).
- Buscar eventos concretos en todo el log (quizás este es el más interesante de todos).
Yo opino que si de verdad te resulta útil este plugin, y lo amas profundamente y forma parte de tu web en tu día a día, que pagues la versión premium, porque el plugin se lo merece.
Si lo utilizas como complemento para tu web, basta con usar la versión gratuita, pero eso sí, recomienda el plugin a la gente que creas que lo necesita (es una buena manera de ofrecerles algo a cambio a ellos).
Eso sí, como siempre, recuerdo que los plugins que menciono en los artículos (como por ejemplo en este) no me pagan ni me ofrecen jamones de pata negra, ni cestas de navidad extra para hablar bien de ellos.
Como siempre, te intento traer buenas soluciones, y de calidad, para tu(s) proyecto(s) WordPress, para ahorrarte tiempo y dinero (y sobre todo dolores de cabeza).
Video Tutorial
Antes de llegar a las conclusiones, me gustaría aportar este vídeo-tutorial en el que describo el plugin y todas las características que tiene.
Servirá de repaso para todo lo que hemos ido viendo a lo largo de este artículo.
Conclusiones
Como ves, es más fácil de lo que piensas implementar un buen método de seguridad para tu web.
Este plugin va a convertirte en un auténtico “Gran Hermano”, que todo lo ve, y que puede consultar cada movimiento dentro de WordPress, cuando quiera y donde quiera.
En este artículo tocamos el tipo de seguridad más “cercano” a tu web, desde dentro. (Hay otros plugins de seguridad, pero más “hacia afuera”).
Considero que el plugin en cuestión es clave a la hora de saber quién hace qué y cuándo, lo cual es muy importante a la hora de resolver problemas internos, sobre todo si trabajas con clientes, o con más implementadores de WordPress en una misma web.
Yo lo uso cada día en mis proyectos, y me ha ahorrado bastantes problemas, y ayudado a encontrar agujeros de seguridad en algunas webs de clientes.
Espero que te haya ayudado, y que sobre todo te haya parecido útil.
Te animo a que pruebes y juegues con este plugin, siempre en un entorno de test, que se pueda romper. Y cuando estés seguro de lo que haces, lo hagas en un entorno de producción.
¡Esto ha sido todo por ahora, y nos vemos en el siguiente artículo!
¿Te ha resultado útil este artículo?
Consultor de Marketing Online y WordPress con más de 8 años de experiencia. Creo webs con una experiencia de usuario enfocada a objetivos específicos (aumentar visibilidad, aumentar clientes, etc)y doy soporte a mis clientes con sus estrategias en redes sociales y en campañas de marketing online